Platform
linux
Component
suricata
Opgelost in
7.0.16
8.0.1
CVE-2026-31935 is een Denial of Service (DoS) kwetsbaarheid in Suricata. Door een overvloed aan HTTP2 continuation frames te versturen, kan een memory exhaustion ontstaan, waardoor het Suricata proces door het besturingssysteem wordt afgesloten. De kwetsbaarheid treft Suricata versies <=>= 8.0.0, < 8.0.4. Deze kwetsbaarheid is verholpen in versies 7.0.15 en 8.0.4.
CVE-2026-31935 in Suricata, een netwerk IDS, IPS en NSM engine, stelt een aanvaller in staat om een geheugenuitputting te veroorzaken. Dit wordt bereikt door het systeem te overspoelen met kwaadaardige HTTP/2 continuation frames. Als een aanvaller het netwerkverkeer dat door Suricata loopt kan controleren, kan hij deze kwetsbaarheid uitbuiten om het systeem te overbelasten, wat mogelijk kan leiden tot een denial-of-service (DoS) aanval. De impact is aanzienlijk, aangezien Suricata een cruciaal beveiligingstool is en een storing ervan de beveiliging van de gehele infrastructuur kan compromitteren. De CVSS-severity score is 7.5, wat een hoog risico aangeeft. Deze kwetsbaarheid treft versies vóór 7.0.15 en 8.0.4.
Het exploiteren van deze kwetsbaarheid vereist de mogelijkheid om HTTP/2-verkeer naar Suricata te sturen. Een aanvaller kan tools zoals curl of netcat gebruiken om een groot aantal kwaadaardige HTTP/2 continuation frames te verzenden. De effectiviteit van de aanval hangt af van de netwerkconfiguratie en het vermogen van de aanvaller om het verkeer te controleren. De kwetsbaarheid is vooral zorgwekkend in omgevingen waar Suricata wordt gebruikt om HTTP/2-verkeer te inspecteren, zoals webproxies of webapplicatiefirewalls. De aard van het HTTP/2-protocol, met zijn vermogen om meerdere continuation frames te verzenden, vergemakkelijkt de exploitatie van deze kwetsbaarheid.
Organizations relying on Suricata for network intrusion detection and prevention are at risk, particularly those running vulnerable versions (≤ 8.0.0, < 8.0.4). Environments with high HTTP2 traffic volume are more susceptible to exploitation. Those using Suricata in virtualized environments or containerized deployments should pay close attention to resource limits and monitoring.
• linux / server:
journalctl -u suricata -f | grep -i 'memory allocation error'• linux / server:
ps aux | grep suricata | awk '{print $4, $6}' | sort -n | tail -n 1• generic web: Monitor Suricata logs for unusual HTTP2 traffic patterns or errors related to frame processing.
disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-31935 is het upgraden van Suricata naar versie 7.0.15 of hoger, of naar versie 8.0.4 of hoger. Deze versies bevatten een fix die het geheugenuitputtingsprobleem verzacht. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om systemen te beschermen tegen potentiële aanvallen. Bovendien kan het monitoren van het geheugengebruik van het Suricata-proces helpen om potentiële aanvallen in uitvoering te detecteren. Het implementeren van firewallregels om verdacht HTTP/2-verkeer te beperken, kan ook een extra preventieve maatregel zijn. De update is de meest effectieve en aanbevolen oplossing.
Actualice Suricata a la versión 7.0.15 o 8.0.4, o una versión posterior. Esto corregirá la vulnerabilidad de consumo excesivo de recursos causada por la inundación de marcos de continuación HTTP2.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Suricata is een open-source Intrusion Detection System (IDS), Intrusion Prevention System (IPS) en Network Security Monitoring (NSM) engine.
Voer de opdracht suricata -v uit in de opdrachtregel.
CVSS 7.5 geeft een hoog risico aan, wat betekent dat de kwetsbaarheid uitbuitbaar is en aanzienlijke gevolgen kan hebben.
Het monitoren van het geheugengebruik van het Suricata-proces en het beperken van verdacht HTTP/2-verkeer met firewallregels kan helpen om het risico te verminderen, maar het is geen volledige oplossing.
U kunt meer informatie vinden in de Suricata release notes en in kwetsbaarheidsdatabases zoals de NVD (National Vulnerability Database).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.